去年的Apache Struts2的遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)暴影響剛剛散去，近日又有安全研究人員指出Apache Struts2在今年的漏洞公告S2-020里，處理修復(fù)CVE-2014-0094的漏洞修補(bǔ)方案存在漏洞，導(dǎo)致補(bǔ)丁被完全繞過(guò)。Apache Struts2官方在GitHub上已對(duì)該問(wèn)題做出了修正。

【專題推薦】：Struts2漏洞再現(xiàn) 拉響網(wǎng)站安全紅色警報(bào)

[[112175]]

目前該漏洞已呈擴(kuò)散趨勢(shì)，攻擊者可能利用這個(gè)補(bǔ)丁繞過(guò)漏洞在遠(yuǎn)程目標(biāo)服務(wù)器執(zhí)行任意系統(tǒng)命令，輕則竊取網(wǎng)站數(shù)據(jù)信息，嚴(yán)重的可取得網(wǎng)站服務(wù)器控制權(quán)，構(gòu)成信息泄露和運(yùn)行安全威脅。

特別是政府、公安、交通、金融和運(yùn)營(yíng)商等尤其需要重視該漏洞，這些單位和機(jī)構(gòu)需要非常重視信息安全保密工作，敏感信息的泄漏有可能對(duì)國(guó)家造成沉重的打擊，甚至?xí)`反相關(guān)的法律規(guī)定。在最近幾年APT攻擊橫行的時(shí)期，駭客早也不再以掛黑頁(yè)炫耀為目的，攻擊者可能通過(guò)該漏洞作為突破口滲透進(jìn)入其內(nèi)部網(wǎng)絡(luò)長(zhǎng)期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。請(qǐng)記住，在如今的互聯(lián)網(wǎng)時(shí)代，只要是能換成錢的東西，駭客們都愿意嘗試，其中更不乏諸多政治駭客(如國(guó)際黑客組織Anonymous)。

安恒信息的安全專家提醒目前正在使用Struts框架的網(wǎng)站管理員，時(shí)刻關(guān)注Struts官方修復(fù)方案，并對(duì)Struts官方修復(fù)內(nèi)容進(jìn)行審核。使用安恒信息明御WEB應(yīng)用防火墻(WAF)的用戶如果開(kāi)啟了安恒信息獨(dú)有的“防護(hù)策略自主學(xué)習(xí)功能”將不受該漏洞影響;未開(kāi)啟“自主防護(hù)學(xué)習(xí)功能”的用戶可以通過(guò)其產(chǎn)品內(nèi)置的虛擬補(bǔ)丁技術(shù)在1分鐘之內(nèi)實(shí)現(xiàn)對(duì)本次漏洞的防護(hù)。同時(shí)安恒信息已經(jīng)安排了專業(yè)的安全工程師進(jìn)行24小時(shí)緊急值班，隨時(shí)協(xié)助有需要的用戶解決防護(hù)該漏洞，值班電話400-605-9110。